Sucuriは4月2日(米国時間)、「Magento Shoplift: Ecommerce Malware Targets Both WordPress & Magento CMS」において、電子商取引(EC)プラットフォーム「Magento(Adobe Commerce)」を標的とするマルウェア「Magento Shoplift」の亜種を発見したとしてその詳細を報じた。このマルウェアはWordPress向け電子商取引プラグイン「WooCommerce」を標的とするように進化したとみられる。
Magento侵害の詳細
SucuriはMagento Shopliftの亜種を顧客の調査依頼により発見したと説明しており、その侵害経路はわかっていない。この亜種は侵害したWooCommerceサイトの「./wp-content/uploads/custom-css-js/134019.js」に悪意のあるJavaScriptを挿入することで通販サイトの顧客情報(クレジットカードなどを含む)を窃取する。
このスクリプトのパスからWordPressプラグイン「Simple Custom CSS and JS」を利用している、または勝手にインストールしたWebサイトを侵害するものとみられる。
悪意のあるJavaScriptは「wss://jqueurystatics[.]com:8001」からマルウェア本体をロードする機能を持つ。また、JavaScriptには「GoogleAnalyticsObjects」や「www.google-analytics.com/Analytics.js」などの文字列が使用されており、一見するとGoogleのアクセス解析サービス用の処理を実行しているかのように偽装する手法がとられている。
WooCommerceサイトを保護するための対策
Sucuriは同様の攻撃からWooCommerceサイトを保護するため、次のような対策を推奨している。
- WordPress本体、プラグイン、テーマを常に最新の状態に維持する
- すべてのアカウントに一意で強力なパスワードを設定する。また、二要素認証(2FA: Two-Factor Authentication)を導入する
- 不正アクセスなどの異常な活動がみられないかWebサイトを定期的に監視する
- Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する
- Webサイトのイミュータブルバックアップを定期的にとり、復元できるかテストする
Webサイトの侵害は「Website Malware Scanning & Detection | Sucuri」などのサービスを利用して確認することができる。Webサイトが侵害されている場合はバックドアを設置されている可能性があるため、専門家またはセキュリティ専門企業に相談して対処することが推奨されている。